私はステートフルセットとして展開されたkubernetes上のカサンドラクラスタを持っています。私はポッドの間に節電のセキュリティを実装しようとしていました。スケーリング後に新しい証明書を使ってクラスタを再起動する必要はありません。ポッドでコンテナを開始するときにcassandra.yamlを調整するためのドッカーエントリスクリプトがあります。Datastaxカッサンドラの節約セキュリティkubernetes
誰もがこのような場合に最善のアプローチを提案できますか?
ここでは、OpsCenter Lifecycle Managerのノードツーノード証明書管理機能の設計を支援しました。新しいノード/証明書を追加した後にすべてのノードを再起動するという基本的な要件はありませんが、誤ってその要件に陥るなど、証明書管理を設計するのは簡単です。
ノードごとに自己署名証明書を作成し、それらの証明書をトラストストアに追加し、そのトラストストアをすべてのノードにコピーする必要があります。新しいノード/証明書を追加するときは、新しい証明書をそのトラストストアに追加して、すべてのノードに再コピーする必要があります。その場合、Cassandraが再起動されます。 DataStaxのドキュメンテーションは、これを行う方法を提案しています。これは、開始するのが最も簡単な方法ですが、生産に移行する最もスケーラブルな方法ではありません。
代わりに、認証局を作成します。 Verisignのような公的に信頼できるCAである必要はなく、opensslコマンドラインツールで作成したプライベートなものでもかまいません。 CA public-certをトラストストアに追加し、すべてのノードにコピーします。この時点で、そのCAによって署名された各ノードの証明書を作成できます。すべてのノードは既にCAを信頼しているので、ノード/証明書がそのCAによって署名されていれば(CAの非公開部分と公開部分を保持する)、ノードごとに新しい証明書を追加することができます署名された証明書。
悲しいことに、一般的な証明書とopenssl(または別の証明書生成ツール)の十分なバックグラウンドを持っていないと、これは実装するのがかなり混乱します。それを一歩一歩説明するには、より多くのタイピングが必要です。しかし、あなたはCAを簡単にセットアップするためのチュートリアルをGoogleで行うことができます。そして、あなたは既にトラストストアを作成するためのJKSのやり方を知っています。
また、私はDataStaxのさまざまなデプロイメント関連の作業に取り組んでいます。興味があれば、Kubernetesのセットアップをどのように行ったか、そしてあなたのためにうまくいったこと、何が痛みを引き起こすかについて、30時間チャットしたいと思います。スタックオーバーフローにはダイレクトメッセージ機能がありますか?もし私があなたに私の連絡先を撃つ方法を見つけ出すことができたら。
スタックオーバーフローに関する直接のメッセージはありません。私はあなたがチャットしたいと思うなら私はここにコメントを推測し、私はちょうど公に私の連絡先情報を掲示するでしょう。 rip inbox。 –
Mike Lococo - おそらくOPがDatastax Academyのスラックチームにメッセージを送ることができますか? – LHWizard
ああ、それは素晴らしいアイデアです。私はdatastaxacademy.slack.comの#opscenterにいます。 –
問題を解決するための標準的なアプローチはありますか? –
私はあなたの質問を少しはっきりさせ、いくつかの詳細を共有してきたと思います。 1つのアプリケーション/ StatefulSetの[セキュリティコンテキストコンフィグレーション](https://kubernetes.io/docs/user-guide/security-context/)に関連してクラスタをスケーリングする方法は? – pagid